6-2-2. GDPR
GDPR(EU一般データ保護規則)とは、個人データの保護とプライバシーの権利を強化するために、欧州連合(EU)加盟国に適用される重要な法令です。EUで活動する企業だけではなく、EU加盟国の居住者の個人データを取扱う企業は、企業規模に関係なく、GDPRが適用されるため、GDPRを理解し遵守することが必要です。以下では、GDPRの概要および日本企業の関わりについて説明します。
GDPR(一般データ保護規則)とは
EUで策定された新しい個人情報保護の枠組みであり、個人データ保護やその取扱いについて詳細に定められた欧州経済領域内の各国に適用される法令のことです。欧州経済領域内で取得した「個人データ」を「処理」し、欧州経済領域外の第三国に「移転」するために満たすべき要件が定められています。GDPRの特徴として、インターネット上で収集できる個人データのほとんどが保護対象となっています。
GDPRの概要
個人データ
- 氏名
- 識別番号
- 所在地データ
- メールアドレス
- オンライン識別子(IPアドレス、Cookieなど)
など
処理
- クレジットカード情報の保存
- メールアドレスの収集
- 顧客連絡先詳細の変更
- その他、個人データに対する収集・保存・編集・開示などのあらゆる行為
移転
個人データを含んだ電子形式の文書を電子メールで欧州経済領域外に送付する
GDPRと日本企業の関係
GDPRはEU内で適用される法令ですが、支店など物理的な拠点をEU内に持っていなくても、インターネットを利用して日本からEU域内に商品販売やサービス提供、情報収集を行っている企業にもGDPRが適用されます。また、ターゲティング広告を配置した自社サイトに対して、EU域内からアクセスがあった際もGDPRの適用対象となる可能性があります。GDPRに違反した場合はかなり重い制裁金が課されるため、適切な対策が求められます。
GDPRに向けた対策例
GDPRでは、Cookieが「個人情報」とみなされるため、WebサイトでCookieを利用する際は、Webサイト閲覧者からCookie取得の同意を得る仕組みを構築することが必要です。Cookieについての本人の同意を取得するには、企業とユーザーとの間で個人データの利用における同意の実施・管理を行うツール(CMP)を導入することが推奨されています。